Red Hat Training
A Red Hat training course is available for Red Hat Enterprise Linux
17.14.5.2. DHCP Snooping
CTRL_IP_LEARNING=dhcp (DHCP snooping)는 특히 신뢰할 수 있는 DHCP 서버만 IP 주소를 할당할 수 있는 필터와 결합할 때 추가 보안 방지 기능을 제공합니다. 이를 활성화하려면 변수
DHCPSERVER 를 유효한 DHCP 서버의 IP 주소로 설정하고 이 변수를 사용하여 들어오는 DHCP 응답을 필터링하는 필터를 제공합니다.
DHCP 스누핑이 활성화되고 DHCP 리스가 만료되면 게스트 가상 머신은 DHCP 서버에서 유효한 새 리스를 취득할 때까지 더 이상 IP 주소를 사용할 수 없습니다. 게스트 가상 머신을 마이그레이션하는 경우 IP 주소를 사용하려면 새로운 유효한 DHCP 리스를 가져와야 합니다(예: VM 인터페이스를 종료한 후 다시 시작).
참고
자동 DHCP 탐지는 게스트 가상 머신이 인프라의 DHCP 서버와 교환되는 DHCP 트래픽을 수신합니다. libvirt에 대한 서비스 거부 공격을 방지하기 위해 이러한 패킷의 평가는 속도가 제한됩니다. 즉, 인터페이스에서 초당 과도한 수의 DHCP 패킷을 보내는 게스트 가상 시스템은 이러한 패킷을 모두 평가하지 않으므로 필터가 적용되지 않을 수 있습니다. 정상적인 DHCP 클라이언트 동작은 초당 낮은 수의 DHCP 패킷을 보내는 것으로 가정합니다. 또한 인프라의 모든 게스트 가상 머신에 적절한 필터를 설정하여 DHCP 패킷을 보낼 수 없도록 하는 것이 중요합니다. 따라서 게스트 가상 머신은 UDP 및 TCP 트래픽을 포트 67에서 포트 68로 전송하지 못하거나 DHCP 서버 메시지를 모든 게스트 가상 시스템에서만 사용하도록 제한해야 합니다. 동시에 서브넷의 모든 게스트 가상 머신에서 안티 스푸핑 방지를 활성화해야 합니다.
예 17.6. DHCP 스누핑의 IP 활성화
다음 XML에서는 DHCP 스누핑 방법을 사용하여 IP 주소 학습 활성화를 위한 예를 제공합니다.
<interface type='bridge'>
<source bridge='virbr0'/>
<filterref filter='clean-traffic'>
<parameter name='CTRL_IP_LEARNING' value='dhcp'/>
</filterref>
</interface>
